NetTraveler APT:攻击行动评估
                - By nEINEI

Time：2013-06-04	

				
1) NetTraveler一直攻击工业公司，科研院所，大学，私营公司，政府等。
2) NetTraveler的backdoor也经常使用其它家族的恶意程序来配合完成相关事件,目标国家包括，蒙古，俄罗斯，印度，中国，西班牙等。

Symptoms
	 

相关样本信息：
	e617348b8947f28e2a280dd93c75a6ad
	b600089a93275fa93558695b707b87ad
	e617348b8947f28e2a280dd93c75a6ad
	059a7482efee3b2abf67c12d210cb2f7
	01d06f85fce63444c3563fe3bd20c004
最小闭合的攻击样本：
 
 钓鱼攻击的word漏洞样本：29a420e52b56bfadf9f0701318524bef,size =274291
 rat:01d06f85fce63444c3563fe3bd20c004，size = 102400
 
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼)
	m = 3 (代码注入，特种木马，特定目标感染)
	p = 1 (攻击1种平台)
	x = 2 (N Day利用，主要是cve-2010-3333，cve-2012-0158);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 3 + 1) ^ 2 * (1 + 2) ^ 2 +　(274291+102400)/1024  
	   = 8^2 * (3^2)+  368
	   = 576+  368
	   = 944

	  ==>944 *1000/1279625(1T攻击力单位) = 0.737T
				
参考引用：
1.http://www.securelist.com/en/downloads/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt